Каталог Рефератов - Комплексная защита типовой локальной вычислительной сети

	Информационно-образоательный портал
	Рефераты, курсовые, дипломы, научные работы,



МЕНЮ\|

поиск

Комплексная защита типовой локальной вычислительной сети

а системах с машинами Windows 95 / 98 следует включить вход в домен Windows NT и разграничение доступа на уровне пользователей.

Обязательно следует разработать файлы системных политик для Windows 95 и Windows NT. Напомним, файл системных политик для Windows 95 называется Config.pol, а для Windows NT - NTConfig.pol. Эти файлы должны размещаться в директории NetLogon контроллеров домена. Форматы этих файлов отличаются, причем редакторы политик могут запускаться только на машине с соответствующей операционной системой.

В этих файлах следует как минимум установить параметры, запрещающие запись паролей в файлах .PWL, число попыток входа в систему и т.п. (см. предыдущий раздел).

Локальный вход на контроллер домена должен быть разрешен только администраторам и операторам резервного копирования.

Следует по возможности в качестве ОС клиентских машин использовать Windows NT Workstation с последним Service Pack'ом. Не рекомендуется использовать Windows 95, Windows 98 защищена лучше.

Следует внимательно следить за количеством расшаренных ресурсов и правами на доступ к ним.

Разделы ОС Windows NT рекомендуется форматировать с использованием файловой системы NTFS (для удобства, хоть это и понижает безопасность, рекомендуется в качестве первого раздела иметь небольшой (~200 Mb) раздел FAT16). При использовании данной файловой системы следует внимательно устанавливать разрешения (Permissions) на доступ к файлам.

Для домашних директорий пользователей следует устанавливать разрешения Full Control для администраторов и Change для пользователя. Вообще, где это возможно, следует вместо разрешения Full Control давать разрешение Change, которое позволяет считывать и записывать информацию, но не позволяет стать владельцем и изменить Permissions.

Особо важную информацию не стоит хранить на локальных компьютерах. Лучше создать на разделе NTFS расшаренный ресурс и дать к нему доступ ограниченному кругу лиц. Следует иметь в виду, что папки и файлы, создаваемые на рабочем столе, при входе пользователя в сеть, как и весь профиль, копируются на локальный компьютер, поэтому лучше создавать их на сетевом домашнем диске пользователя. Особенно это актуально для Windows 95 / 98, так как файловые системы FAT16 и FAT32 не позволяют ограничить к ним доступ. Это важно при наличии у пользователя сетевого домашнего каталога. В особо важных случаях можно с помощью редактора системных политик задать полные пути к файлам профиля, в том числе и сетевые.

Для затруднения взлома системы встроенную учетную запись администратора следует переименовать и создать новую учетную запись с именем Administrator (Администратор для русской версии NT) с минимальными правами.

Наиболее распространенной ошибкой является постоянная работа с администраторскими правами. Повседневные действия следует выполнять, работая под аккаунтом обычного пользователя, с администраторскими правами - только в случае необходимости. При работе с администраторскими правами следует быть внимательным и не запускать подозрительные и незнакомые файлы, т.к. в этом случае программа сразу приобретает едва ли не полный доступ ко всем ресурсам компьютера.

Большую опасность, особенно для систем Windows 95 / 98 играют вирусы. Обязательно следует на каждый компьютер установить антивирусный пакет (например, AVP лаборатории Касперского) и периодически обновлять его антивирусную БД.

Крайне не рекомендуется для исполняемых файлов давать право доступа Write пользователям, которым такое право не нужно. Обычно достаточно оставить его администраторам, а для остальных пользователей - право читать и выполнять их.

Хороший системный администратор должен несколько раз в сутки просматривать системный журнал контроллера домена и серверов. При большом количестве журналов можно поискать в Интернете и установить специальные средства чтения и объединения системных журналов нескольких компьютеров Windows NT в одну БД.

Рекомендуется разрешать пользователям применять алфавитно-цифровые пароли длинной не менее 7 символов и помнить 5 последних паролей. Автоматическую смену паролей рекомендуется ставить каждые 45 дней.

Для проверки паролей пользователей на стойкость рекомендуется использовать программу L0phtCrack, запустив которую на контроллере домена с администраторскими правами, можно выяснить, насколько быстро открываются пароли пользователей.

Рекомендуется как можно раньше устанавливать на используемые программные продукты так называемые заплатки (hotfix) и Service Pack'и. Информацию о них обычно можно получить с WWW-сайта производителя (например, www.microsoft.com).

Если вы хотите быть в курсе последних обнаруженных “дыр” в системе Windows NT, а также получать другую, относящуюся к безопасности NT информацию, вы можете подписаться на список рассылки NTBugTraq (www.ntbugtraq.com).

Чтобы построить действительно защищенную систему, необходимо каждый день просматривать этот и ему подобные списки рассылки и, узнав об обнаруженных уязвимостях, своевременно на них реагировать.

Безопасность Microsoft Proxy Server 2.0

Общий обзор -- сети, безопасность, производительность и цены

Проблемы безопасности, производительности и цен

Среди наиболее серьезных факторов, препятствующих подключению внутренних сетей организаций любого масштаба к Интернету, нельзя не назвать проблемы обеспечения безопасности, управляемости и цены. Для их эффективного решения и предназначены брандмауэры и серверы кэширования информации.

Брандмауэры обеспечивают безопасность

Большинство людей знакомо с термином "брандмауэр". Он широко распространен и вполне обоснованно применяется для обозначения аппаратного или программного обеспечения, которое используется для ограничения возможностей доступа в корпоративную сеть организации из Интернета. Как правило, брандмауэры реализуют защиту на нескольких уровнях -- обычно, на транспортном и сетевом уровнях. Однако, нередко брандмауэрами называют и маршрутизаторы, имеющие лишь функцию фильтрации пакетов. Кроме того, брандмауэр обычно предоставляет некоторый механизм уведомления сетевого администратора о происходящей “атаке” или “вторжении”. Некоторые продукты этой группы поддерживают также организацию виртуальных частных сетей (virtual private networks, VPN), соединяющих географически разделенные сегменты. Применение VPN позволяет реализовать недорогое защищенное соединение, например, между офисом филиала и главной штаб-квартирой корпорации по общедоступной коммуникационной инфраструктуре.

Кэширование информации способствует повышению производительности сети и сокращению затрат

Если брандмауэры обеспечивают безопасность, то серверы кэширования и прокси-серверы -- повышение производительности сети и снижение издержек. Благодаря кэшированию потребности пользователей удается удовлетворить, не передавая данные на большие расстояния по общедоступному Интернету или по корпоративной сети. В результате сокращается сетевой трафик и уменьшается коэффициент загрузки сети. В дополнение к этому, многие прокси-серверы позволяют сетевым администраторам указывать, с какими из служб Интернета могут работать их пользователи. Эти возможности называют контролем доступа пользователей и фильтрацией сервисов.

Кэширование информации уже давно играет важную роль в работе многих крупных предприятий и компаний - поставщиков Интернет-услуг (Internet Service Provider, ISP). Сегодня эта технология прокладывает себе путь в вычислительные системы менее крупных организаций, а в будущем кэширование информации, очевидно, станет важнейшей функцией для компаний любого масштаба. Все более широкое применение Интернет-технологий для построения корпоративных интрасетей и внедрение в практику push-систем, которые обеспечивают заблаговременную доставку информации по Интернету или интрасети на рабочее место пользователя, приведут, по-видимому, к дополнительному увеличению спроса на прокси-серверы.

Что такое “прокси-сервер”?

Proxy переводится на русский язык как "выполняющий чье-то поручение". Прокси-сервер в рамках сетевой терминологии обозначает компьютер, который обслуживает несколько клиентских ПК, обращающихся с запросами к Интернету или к каким-либо ресурсам в пределах корпоративной интрасети. Прокси-сервер представляет собой защищенный шлюз между Интернетом / интрасетью и этими клиентскими ПК.

Прокси-сервер остается более или менее прозрачным для остальных участников коммуникационного процесса -- пользователя и источника информации в Интернете. Пользователь, осуществляющий доступ к Интернету со своего настольного компьютера, не должен замечать присутствия прокси-сервера между ним и Всемирной сетью помимо тех случаев, когда он пытается обратиться к службе или к узлу Интернета, доступ к которым ему закрыт. А для Web-сервера, получающего по Интернету запросы от прокси-сервера, они должны быть неотличимы от запросов, полученных непосредственно от средства просмотра Web-ресурсов или FTP-клиента.

Описанный сценарий требует, чтобы прокси-сервер был двусторонним, то есть компьютер, на котором он работает, должен быть оснащен двумя сетевыми интерфейсами: один для подключения к сети предприятия, а второй -- для связи с внешним миром, в данном случае -- с Интернетом

Общий обзор Microsoft Proxy Server 2.0

Microsoft Proxy Server 2.0 представляет собой брандмауэр с расширяемым набором функций и сервер кэширования информации, применение которого на предприятии любых масштабов позволяет повысить безопасность доступа к Интернету, а также сократить время отклика и повысить эффективность функционирования сети в среднем на 50%.

Microsoft Proxy Server входит в состав семейства серверных приложений Microsoft BackOffice.

Microsoft Proxy Server выполняет опережающее кэширование ресурсов, к которым пользователи обращаются чаще всего, обеспечивая их постоянную актуальность и доступность. Данные автоматически заблаговременно загружаются из сети и обновляются на основе эвристических алгоритмов, учитывающих статистику обращений.

Расширяемость набора функций обеспечения безопасности

В дополнение к защите на уровне приложений и защите на уровне коммуникационных каналов этот продукт поддерживает динамическую фильтрацию пакетов. Он дополнен также функциями выдачи предупреждающих уведомлений и ведения регистрационного журнала, которые необходимы пользователям брандмауэров. Сверх того, совместное использование Microsoft Proxy Server с модернизированной службой Routing and Remote Access Service ОС Windows NT Server позволяет реализовать экономичные и защищенные виртуальные частные сети (Virtual Private Network, VPN).

Microsoft Proxy Server может играть важную роль в комплексной стратегии обеспечения безопасности информационной системы организации. Пользователям предлагается широкий выбор фильтров для защиты от вирусов и вредоносных программных компонентов, основанных на технологиях Java и ActiveX, средств блокировки доступа к нежелательным узлам, а также других средств защиты, производимых независимыми компаниями и опирающихся на платформу Microsoft Proxy Server.

Задачи прокси-сервера типовой сети

MS Proxy Server, используемый в нашей типовой сети, должен выполнять следующие функции:

служить шлюзом между внутренней сетью организации и сетью Интернет. Т.о., организации для подключения к Интернету можно не получать от провайдера блок IP-адресов, а достаточно всего одного адреса;

выполнять функции Web Proxy, в том числе кэшировать информацию, запрашиваемую пользователями внутренней сети по протоколу HTTP;

выполнять функции WinSock Proxy и Socks Proxy, обеспечивая прозрачный доступ в Интернет для приложений, работающих под управлением ОС Windows и приложений, поддерживающих протокол Socks;

разграничивать доступ в Интернет на уровне пользователей, используя список пользователей и групп Windows NT (Web Proxy, WinSock Proxy);

разграничивать доступ в Интернет на уровне компьютеров (Sock Proxy);

выполнять динамическую фильтрацию TCP, UDP и IP-пакетов, контролируя трафик различных служб в направлении внутренней сети и наоборот (брандмауэр);

служить шлюзом для доступа к серверам внутренней сети из сети Интернет по таким протоколам, как SMTP, POP3, HTTP.

Установка и настройка прокси-сервера

Установка прокси-сервера

MS Proxy Server 2.0 должен устанавливаться на компьютер, работающий под управлением Windows NT 4.0 Server с установленным MS Internet Information Server и Service Pack 3 или выше.

Перед установкой необходимо знать IP-адреса внутренней сети и IP-адрес внешнего интерфейса компьютера, на который устанавливается прокси-сервер.

Т.к. WebProxy для кэширования может использовать только раздел жесткого диска с файловой системой NTFS, на жестком диске должен быть как минимум один такой раздел.

Настройка таблицы локальных адресов

Таблица локальных адресов (LAT - Local Address Table) используется прокси-сервером для определения того, какие IP-адреса принадлежат внутренней сети организации, а какие - внешней (Интернету). Ее необходимо составлять тщательно и без ошибок, т.к. если в эту таблицу попадут адреса, на самом деле принадлежащие внешней сети, к ним не будут применяться правила фильтрации пакетов, и злоумышленник, работающий с этих адресов, фактически будет приравнен в правах к пользователям внутренней сети. По этой же причине необходимо тщательно отслеживать все изменения LAT.

Для изменения LAT необходимо в свойствах любой из служб прокси нажать кнопку Local Address Table… При этом откроется окно следующего вида:

В поле Edit задаются начальный и конечный IP-адреса диапазона внутренних IP-адресов. В правой части собственно и показана LAT.

Нажатие кнопки Construct Table открывает окно, в котором можно задать параметры для автоматической конфигурации LAT. Делать это рекомендуется только в том случае, когда точно неизвестны IP-адреса, принадлежащие внутренней сети.

Для нашей типовой сети рекомендуется диапазон 192.168.0.0 - 192.168.0.255, - адреса, выделенные для сетей, которые не подключаются к Интернет напрямую.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8

© 2003-2013
Рефераты бесплатно, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент.